信息化是世界科學(xué)技術(shù)和社會(huì)發(fā)展的大趨勢(shì)，是我國(guó)緊緊抓住并牢牢把握重要戰(zhàn)略機(jī)遇期，積極應(yīng)對(duì)日趨激烈的世界綜合國(guó)力競(jìng)爭(zhēng)的必然選擇，也是全面建設(shè)小康社會(huì)、加快推進(jìn)社會(huì)主義現(xiàn)代化的重大戰(zhàn)略舉措，必須毫不動(dòng)搖地大力推進(jìn)。隨著國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，國(guó)民經(jīng)濟(jì)和社會(huì)對(duì)信息和信息系統(tǒng)的依賴性越來越大，由此而產(chǎn)生的信息安全問題對(duì)國(guó)家安全的影響日益增加、日益突出，國(guó)家安全面臨著新的挑戰(zhàn)，對(duì)此必須高度重視，必須有充分的對(duì)策。黨中央、國(guó)務(wù)院一貫高度重視信息安全問題，做出了一系列重要決策或部署。中央領(lǐng)導(dǎo)同志多次就加強(qiáng)信息安全保障工作做出重要指示。胡錦濤總書記要求“把信息安全放到至關(guān)重要的位置上，認(rèn)真加以考慮和解決”。強(qiáng)調(diào)要從國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展的高度去認(rèn)識(shí)信息安全問題的極端重要性。
   
    正是在此背景下，2003年7月召開的國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議上，討論了《關(guān)于加強(qiáng)信息安全保障工作的意見》。2003年9月，中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（簡(jiǎn)稱27號(hào)文）。27號(hào)文在分析了我國(guó)當(dāng)前信息安全保障工作的基本狀況的基礎(chǔ)上，為進(jìn)一步提高信息安全保障工作的能力和水平，維護(hù)公眾利益和國(guó)家安全，促進(jìn)信息化建設(shè)健康發(fā)展，提出了加強(qiáng)信息安全保障工作的總體要求和主要原則并對(duì)下一步信息安全保障工作做了全面部署。其中信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的重要基礎(chǔ)性工作之一。27號(hào)文的發(fā)布，在社會(huì)各界引起了不同程度的反響，掀起了有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家政策和標(biāo)準(zhǔn)規(guī)范制定、信息安全風(fēng)險(xiǎn)評(píng)估理論和方法研究以及信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)與工具開發(fā)的熱潮。
   
    本文首先介紹了信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概念及其意義，然后分析了美國(guó)聯(lián)邦信息系統(tǒng)安全防護(hù)的政策和措施，最后根據(jù)我國(guó)信息化建設(shè)及管理的現(xiàn)狀，對(duì)我國(guó)信息系統(tǒng)安全評(píng)估框架以及風(fēng)險(xiǎn)評(píng)估的作用進(jìn)行了探討。
   
    一、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概念
   
    風(fēng)險(xiǎn)管理是管理者權(quán)衡保護(hù)措施的運(yùn)行和經(jīng)濟(jì)成本與獲得的收益之間關(guān)系的一個(gè)過程。這個(gè)過程并不是IT行業(yè)所獨(dú)有的，實(shí)際上它遍及我們?nèi)粘Ｉ�活中需要做出決定的任何事情。進(jìn)行風(fēng)險(xiǎn)管理的最終目的就是要在這種平衡關(guān)系下，將風(fēng)險(xiǎn)最小化，這也是在信息系統(tǒng)生命周期過程中需要實(shí)施信息安全風(fēng)險(xiǎn)管理的根本原因。所有與安全性相關(guān)的活動(dòng)都是信息安全風(fēng)險(xiǎn)管理的組成部分。可以說，信息安全風(fēng)險(xiǎn)管理貫穿于系統(tǒng)生命周期的整個(gè)過程，即初始階段、開發(fā)/獲取階段、實(shí)施階段、運(yùn)行/維護(hù)階段。
   
    信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估則是對(duì)系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)管理的基礎(chǔ)，也就是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個(gè)生命周期中有關(guān)風(fēng)險(xiǎn)級(jí)別的過程。這個(gè)過程的結(jié)果是殘留風(fēng)險(xiǎn)和這個(gè)風(fēng)險(xiǎn)是否達(dá)到可接受水平的一個(gè)明確界定，或者是一個(gè)是否應(yīng)當(dāng)實(shí)施額外的安全控制以進(jìn)一步降低風(fēng)險(xiǎn)的結(jié)論。
   
    安全風(fēng)險(xiǎn)定義為有害事件發(fā)生的可能性和該事件可能對(duì)組織的使命所產(chǎn)生影響的函數(shù)。為了確定這種可能性，需要對(duì)系統(tǒng)的威脅以及由此表現(xiàn)出來的脆弱性進(jìn)行分析。影響則是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來確定的。具體的方法由圖1給出。

    二、美國(guó)聯(lián)邦信息系統(tǒng)安全防護(hù)政策及措施
   
    自9.11事件以來，美國(guó)政府高度重視信息安全問題。于2002年通過的《聯(lián)邦信息安全管理法案》（FISMA)規(guī)定必須對(duì)聯(lián)邦政府信息系統(tǒng)進(jìn)行安全評(píng)估并備案，為美國(guó)政府機(jī)構(gòu)信息系統(tǒng)改善信息安全問題設(shè)定了目標(biāo)，也被稱作美國(guó)電子政務(wù)法案。FISMA為美國(guó)聯(lián)邦政府信息安全設(shè)定了目標(biāo)，卻沒有規(guī)定如何實(shí)現(xiàn)這些目標(biāo)。為此，美國(guó)國(guó)家技術(shù)與標(biāo)準(zhǔn)局（NIST）負(fù)責(zé)為實(shí)現(xiàn)這些目標(biāo)制定最低的安全要求，NIST因此專門啟動(dòng)了信息系統(tǒng)安全認(rèn)證認(rèn)可計(jì)劃，該計(jì)劃近期已更名為信息系統(tǒng)安全計(jì)劃。該計(jì)劃分為兩個(gè)階段，在第一階段將制定如下的標(biāo)準(zhǔn)和指南：聯(lián)邦信息和信息系統(tǒng)的分類；聯(lián)邦信息系統(tǒng)選擇和規(guī)定安全控制；驗(yàn)證聯(lián)邦信息系統(tǒng)安全控制的有效性；在第二階段，將在美國(guó)國(guó)內(nèi)建立一個(gè)國(guó)家級(jí)的，由經(jīng)過認(rèn)可的機(jī)構(gòu)組成的網(wǎng)絡(luò)，使這些機(jī)構(gòu)能基于NIST的標(biāo)準(zhǔn)和指南為聯(lián)邦政府提供經(jīng)濟(jì)高效的、高質(zhì)量的安全評(píng)估服務(wù)。
   
    為此，NIST定義了總體的信息系統(tǒng)安全框架圖，如圖2所示：

圖2信息系統(tǒng)安全框架

    從圖中可見，新建或再建的信息系統(tǒng)必須實(shí)施定期的風(fēng)險(xiǎn)評(píng)估(SP800-30)，以分析信息系統(tǒng)面臨的威脅、信息系統(tǒng)存在的脆弱性，信息系統(tǒng)可能遇到的安全事件損失及由此導(dǎo)致的風(fēng)險(xiǎn)；同時(shí)，風(fēng)險(xiǎn)評(píng)估將為信息系統(tǒng)確定其安全需求；隨后，應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估中確定的信息系統(tǒng)在機(jī)密性、完整性和可用性方面存在的風(fēng)險(xiǎn)，確定信息系統(tǒng)的安全類別和等級(jí)(FIPS199)；針對(duì)信息系統(tǒng)的安全類別和等級(jí)，將為其選擇有效的安全控制(SP800-53)，以實(shí)現(xiàn)合適的安全等級(jí)(SP800-60)；上述過程確定的安全需求、安全控制均將列入信息系統(tǒng)的安全計(jì)劃(SP800-18)并得到實(shí)施(SP800-53)。此后，應(yīng)定期通過安全測(cè)試和評(píng)估來衡量信息系統(tǒng)中安全控制的有效性，即信息系統(tǒng)安全認(rèn)證工作(SP800-37)；最終，基于安全控制的有效性和殘余風(fēng)險(xiǎn)值，由聯(lián)邦機(jī)構(gòu)的高級(jí)官員決定是否授權(quán)信息系統(tǒng)投入運(yùn)行，即信息系統(tǒng)的安全認(rèn)可工作(SP800-37)。而且由于信息技術(shù)的發(fā)展、業(yè)務(wù)需求的變革，外部環(huán)境的變化均可能使信息系統(tǒng)的安全態(tài)勢(shì)發(fā)生改變，因此上述過程是動(dòng)態(tài)的，且需定期重復(fù)。
   
    從上可見，美國(guó)聯(lián)邦政府信息系統(tǒng)的安全工作是在整個(gè)信息系統(tǒng)的生命周期中進(jìn)行的，而整個(gè)安全工作的關(guān)鍵則是信息系統(tǒng)安全認(rèn)證與認(rèn)可(它包含了信息系統(tǒng)安全評(píng)估工作)，它是整個(gè)信息系統(tǒng)安全工作的關(guān)鍵控制點(diǎn)。

    
    三、我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的思考
   
    2004年1月9日，黃菊關(guān)于“全面加強(qiáng)信息安全保障工作，促進(jìn)信息化健康發(fā)展”的講話中，對(duì)我國(guó)的信息安全風(fēng)險(xiǎn)評(píng)估工作做了很好的定位：“抓緊研究制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的管理規(guī)范，并組織力量提供技術(shù)支持。根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理，特別是對(duì)涉及國(guó)家機(jī)密的信息系統(tǒng)，要按照黨和國(guó)家有關(guān)保密規(guī)定進(jìn)行保護(hù)。對(duì)涉及國(guó)計(jì)民生的重要信息系統(tǒng)，要進(jìn)行必要的信息安全檢查”。對(duì)我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作（特別是政府部門信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作）的部署，要參照黃菊講話的精神進(jìn)行。而且信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)結(jié)合整個(gè)信息系統(tǒng)的安全評(píng)估體系來考慮。
   
    信息系統(tǒng)安全評(píng)估和信息安全保障一樣是個(gè)復(fù)雜的問題，其復(fù)雜性不僅來源于信息系統(tǒng)安全本身，更來源于安全評(píng)估中涉及的角色、責(zé)任、行政管理及流程問題。
   
    目前，信息系統(tǒng)安全評(píng)估類型大致有以下幾種：
   
    *安全風(fēng)險(xiǎn)評(píng)估

    *安全檢查
   
    *系統(tǒng)安全保障等級(jí)評(píng)估
   
    *安全認(rèn)證和認(rèn)可
   
    3.1安全風(fēng)險(xiǎn)評(píng)估
   
    安全風(fēng)險(xiǎn)評(píng)估是應(yīng)用比較廣泛的一種安全評(píng)估方法，是系統(tǒng)風(fēng)險(xiǎn)管理的前期活動(dòng)。根據(jù)風(fēng)險(xiǎn)評(píng)估實(shí)施方的不同分為自評(píng)估和他評(píng)估服務(wù)兩類。自評(píng)估是信息系統(tǒng)所有者對(duì)自己系統(tǒng)所進(jìn)行的安全風(fēng)險(xiǎn)評(píng)估，而他評(píng)估是包括第二方商業(yè)機(jī)構(gòu)或第三方中立機(jī)構(gòu)所提供的安全風(fēng)險(xiǎn)服務(wù)。該方法采用定性或定量的方法對(duì)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)進(jìn)行分析和度量，不過該方法得出結(jié)果-風(fēng)險(xiǎn)值的高低并不直接等同于系統(tǒng)安全程度的高低，而且風(fēng)險(xiǎn)分析方法及活動(dòng)還依賴于經(jīng)驗(yàn)數(shù)據(jù)和評(píng)估人員或?qū)＜业膶?shí)際經(jīng)驗(yàn)。雖然安全風(fēng)險(xiǎn)評(píng)估的方法學(xué)還有很多問題沒有定論，但安全風(fēng)險(xiǎn)評(píng)估作為評(píng)估系統(tǒng)安全的一種基本方法已被廣為接受，其它幾種信息系統(tǒng)安全評(píng)估，如信息系統(tǒng)保障等級(jí)安全評(píng)估和認(rèn)證認(rèn)可，均用到了安全風(fēng)險(xiǎn)評(píng)估的思想，將安全風(fēng)險(xiǎn)評(píng)估作為評(píng)估工作的一個(gè)重要環(huán)節(jié)，并把是否實(shí)施過安全風(fēng)險(xiǎn)評(píng)估視為評(píng)估系統(tǒng)安全時(shí)的一項(xiàng)必要指標(biāo)。
   
    由于自評(píng)估是自我的安全評(píng)價(jià)，因此在涉及到一些重大問題時(shí)，其客觀性、有效性和公正性也難以保證。而第二方的安全風(fēng)險(xiǎn)評(píng)估則大多只適用于商業(yè)性系統(tǒng)，對(duì)于涉及國(guó)家機(jī)密、國(guó)家國(guó)計(jì)民生及重要基礎(chǔ)設(shè)施等關(guān)鍵信息系統(tǒng)特別是大信息系統(tǒng)，則不適宜采用第二方商業(yè)性質(zhì)的安全風(fēng)險(xiǎn)評(píng)估。第三方的安全風(fēng)險(xiǎn)評(píng)估，由于其中立性，公正、公平、科學(xué)、客觀，而且通常具有政府背景和權(quán)威性，因此其應(yīng)用范圍最為廣闊。
   
    3.2安全檢查
   
    安全檢查是信息系統(tǒng)的上級(jí)主管部門或國(guó)家相關(guān)的職能部門對(duì)其所進(jìn)行的一種帶有行政管理性質(zhì)的安全監(jiān)督和檢查，偏重于安全管理方面，最終也對(duì)檢查對(duì)象安全狀況給出相應(yīng)的評(píng)判。通常這些系統(tǒng)是涉及國(guó)家信息安全秘密的信息系統(tǒng)或是涉及國(guó)計(jì)民生的重要信息系統(tǒng)。
   
    3.3系統(tǒng)安全保障等級(jí)評(píng)估
   
    系統(tǒng)安全保障等級(jí)評(píng)估是由一個(gè)具有權(quán)威性的、獨(dú)立的的第三方機(jī)構(gòu)來進(jìn)行，該機(jī)構(gòu)具有評(píng)估能力的專門技術(shù)部門或?qū)�業(yè)實(shí)驗(yàn)室來進(jìn)行。此評(píng)估方法是在某個(gè)時(shí)間點(diǎn)對(duì)系統(tǒng)此刻安全狀態(tài)的評(píng)估；評(píng)估時(shí)間點(diǎn)選擇有兩類，一、系統(tǒng)建設(shè)完成并即將投入運(yùn)行時(shí)。此時(shí)的評(píng)估結(jié)果將作為安全認(rèn)證、行政許可的依據(jù)和前提，系統(tǒng)所有者的主管機(jī)構(gòu)然后基于安全認(rèn)證和行政許可的結(jié)果批準(zhǔn)系統(tǒng)投入運(yùn)行；二、系統(tǒng)運(yùn)行階段。在系統(tǒng)運(yùn)行階段應(yīng)要求進(jìn)行強(qiáng)制性定期再評(píng)估（例如每一年或兩年一次）或系統(tǒng)發(fā)生重大變更時(shí)的再評(píng)估。系統(tǒng)安全保障等級(jí)評(píng)估包括對(duì)信息系統(tǒng)安全的技術(shù)和非技術(shù)環(huán)節(jié)的安全評(píng)估，并最終給出信息系統(tǒng)安全保障能力的等級(jí)和系統(tǒng)安全當(dāng)前狀態(tài)的評(píng)價(jià)。它是信息系統(tǒng)進(jìn)行安全認(rèn)證與認(rèn)可的前期工作。它綜合了當(dāng)前信息安全領(lǐng)域關(guān)于安全技術(shù)、安全管理及安全工程過程等方面的最新國(guó)際標(biāo)準(zhǔn)進(jìn)行，是一種非常全面、深入、細(xì)致的安全評(píng)估。
   
    該方式安全評(píng)估的適用范圍較廣，既能服務(wù)于一般的商業(yè)性信息系統(tǒng)，也能服務(wù)于涉及國(guó)家機(jī)密、國(guó)家重要基礎(chǔ)設(shè)施等關(guān)鍵信息系統(tǒng)特別是大信息系統(tǒng)中。
   
    3.4安全認(rèn)證與認(rèn)可
   
    安全認(rèn)證與認(rèn)可是以系統(tǒng)安全保障等級(jí)評(píng)估為依據(jù)和基礎(chǔ)的，它由一個(gè)具有權(quán)威性的、獨(dú)立的、公正公平的第三方認(rèn)證來對(duì)信息系統(tǒng)進(jìn)行安全認(rèn)證，并由信息系統(tǒng)的主管機(jī)構(gòu)方來對(duì)該認(rèn)證結(jié)果進(jìn)行認(rèn)可的一個(gè)安全評(píng)估方式。安全認(rèn)證與認(rèn)可的目的是批準(zhǔn)確保符合安全要求的信息系統(tǒng)投入正式運(yùn)行，其結(jié)論有3種：全認(rèn)可（允許系統(tǒng)投入運(yùn)行）、臨時(shí)認(rèn)可（允許系統(tǒng)有條件地暫時(shí)投入運(yùn)行）、拒絕認(rèn)可（不允許系統(tǒng)投入運(yùn)行）。因此，安全認(rèn)證與認(rèn)可通常是針對(duì)安全等級(jí)較高的涉及國(guó)計(jì)民生或政府機(jī)構(gòu)的關(guān)鍵信息系統(tǒng)所進(jìn)行。
   
    綜上可見，以上這幾種信息安全評(píng)估類型主要的區(qū)分方式在于其評(píng)估方的不同，安全風(fēng)險(xiǎn)自評(píng)估是信息系統(tǒng)所有者自己進(jìn)行的評(píng)估，安全檢查是信息系統(tǒng)所有者上級(jí)主觀部門對(duì)其進(jìn)行的評(píng)估，第二方所進(jìn)行安全風(fēng)險(xiǎn)評(píng)估則是第二方商業(yè)服務(wù)機(jī)構(gòu)提供的安全評(píng)估服務(wù)，而系統(tǒng)安全保障等級(jí)評(píng)估和安全認(rèn)證與認(rèn)可是由客觀公正公平科學(xué)的第三方所進(jìn)行的評(píng)估；從這幾種評(píng)估的關(guān)系來看，安全風(fēng)險(xiǎn)評(píng)估通常是系統(tǒng)安全保障等級(jí)評(píng)估的基礎(chǔ)和必要條件，而系統(tǒng)安全保障等級(jí)評(píng)估則是安全檢查和安全認(rèn)證與認(rèn)可的基礎(chǔ)和依據(jù)。
   
    因此，可以設(shè)計(jì)如圖3所示的信息系統(tǒng)安全評(píng)估體制，風(fēng)險(xiǎn)評(píng)估具有基礎(chǔ)性作用，風(fēng)險(xiǎn)評(píng)估的結(jié)果作為對(duì)信息系統(tǒng)進(jìn)行分級(jí)的依據(jù)，并直接導(dǎo)出信息系統(tǒng)安全需求，為信息系統(tǒng)安全建設(shè)指明方向。

圖3信息系統(tǒng)安全評(píng)估體系

    四、小結(jié)
   
    隨著信息化建設(shè)的快速推進(jìn)，信息安全問題的重要性及緊迫性日益凸現(xiàn)。信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的重要性越來越被人們所認(rèn)識(shí)。本文從制定國(guó)家信息系統(tǒng)安全評(píng)估體系的角度分析了系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的作用。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：從美國(guó)聯(lián)邦信息系統(tǒng)安全防護(hù)政策看我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/11121824429.html